一、 公民个人信息行政法保护基本概念的界定
(一)公民个人信息的概念
从各个国家的立法状况来看,个人信息并没有统一的定义。1968年联合国“国际人权会议”中提到的“资料保护”最早提及了个人信息的概念。如今,世界各个国家对个人信息主要有三种定义方式:“关联型”定义、“识别型”定义、“隐私型”定义。第一类关联型定义主要认为的是信息本身与个人的相关性,即只要是与个人有关的所有信息都属于个人信息的范围。在如今的信息化社会,公民的个人信息不胜枚举,如果把相关联的所有信息都纳入应该保护的个人信息,那么相反保护个人信息就会成为不切实际的想法,自然也就不能保护其个人信息了。因此关联说的定义方式是不合理的。 第二类“隐私型”表明个人信息是所有关于个人隐私的信息。多数西方国家的立法例有关于“隐私型”定义 ,例如美国的《隐私权法》、《侵权行为法》 都将个人信息作为隐私进行保护。但是仅将个人信息作为隐私进行保护,会极大的限定了公民个人信息的保护范畴,从而很难对个人信息进行全方位的规制,况且目前我国对个人隐私保护的法律仍有所欠缺,将个人信息归为个人隐私不适合我国国情。第三类为“识别型”定义,即某一信息能识别出主体并与其他主体区分开,包括能够直接或者间接识别人的特定生理特征、心理特征、文化特征、经济特征等信息。世界上大部分国家的个人信息立法都采用了识别说。
笔者也赞同“识别型”定义,即认为公民个人信息是指某一信息能够单独被用来识别或者与其他信息相结合来识别特定自然人的信息,包括姓名、身份证号码、工作地点、家庭住址等一切有关的信息。
(二)公民个人信息行政法保护的概念
公民个人信息的行政法保护是指对行政主体在收集、处理和利用公民个人信息时,某些行政机关及其工作人员为了谋取私利,出卖公民个人信息,损害公民权利的行为进行惩治。由此可见有关公民个人信息行政法的主体是行政机关在处理个人信息时所形成的行政法律关系的当事人,即一方为国家机关,另一方为个人。客体为公民的个人信息。内容为行政机关和公民所享有的权利和义务。在我国,有关公民个人信息保护的法律仍有所欠缺,公民的个人信息被不法分子利用后找不到有效的途径进行解决和获得赔偿,因此需要对政府等行政机关进行约束,明确行政机关享有的权力和滥用职权后所需承担的责任,更好的保护公民的权利不受侵犯。
(三)公民个人信息行政法保护的法理基础
在学术界主要存在以下三种学说:第一种为财产权理论。该学说声明个人信息享有经济价值,更是一种财产权。笔者以为个人信息并不是财产性权利,因为个人信息的客体并不是传统意义上的物,而是人格和财产利益的结合。虽然社会上也有人针对个人信息进行交易取得收益,但是个人信息的本质仍然是人格利益,所以财产权理论存在较大的缺陷,目前没有任何国家采用该理论。第二种为隐私权理论,隐私权和公民信息权都是有关于公民信息,但是范围却不同。若单纯将个人信息保护界定为个人隐私的保护,不但会在一定程度上缩小了个人信息的保护范围,也不足以体现个人信息保护的法律基础。第三种为人格权理论,人格权是指为民事主体本来就拥有的而由法律直接赋予民事主体享有的人身权利,这么说来个人信息权也是民事主体与生俱来的人身权利,应当是人格权法中的一类具体人格权。笔者认为人格权理论更符合我国的实际情况,因为个人信息体现了一般人格利益,所以就应当用人格权的有关理论进行保护,这样不仅充实了相关的人格权理论,而且也使个人信息拥有了更深层的法理基础。
二、我国公民个人信息行政法保护的不足
(一)行政机关的行为缺乏有效监督
随着信息网络化的普及,行政机关的多项行政工作也开始在网络上进行,因而政府必须对公民的某些个人信息进行登记入册,例如人口普查,就是公安机关等公权力机关利用职权收集整理公民个人信息。但是值得注意的是这些行政机关收集信息缺少监管,没有按照法定的程序进行收集、处理和使用。一种情况是一些行政机关的工作人员为了谋取私利,运用工作性质本身的便利性,不法搜集并贩卖公民的个人信息。另一种情况是行政机关作为公权力机关是一个统一体,全国有关的权力机关网上登记的信息是互通的,即能在某一地区的行政机关信息库查阅到各地区所有的个人信息。由于许多行政机关保护个人信息的技术存在着漏洞,这就更便于黑客盗取公民的个人信息,只要他们入侵到某一相关信息库,就极大可能盗取所有公民的个人信息。所以要想全方位真实有效的的保护公民的个人信息,就必须约束公权力机关处理个人信息行为,加强对行政机关的监管力度。
(二)行政处罚规定不完善
《个人信息保护法》第66条规定了行政罚款制度,参照了域外的经验,提高了违法行为处罚额度,而大幅度增加违法成本,这种做法是值得肯定的,但是也显现出一些问题是不可忽视的。该条第二款规定的处罚额度为“五千万元以下或上一年度营业额百分之五以下”,看似高额的罚款,其实留给监管部门的裁量权过于宽泛。此外,对于履行个人信息保护职责的部门,上到国家网信办及国务院有关部门,下到地方各级政府组成部门,是否都有权针对侵害个人信息的行为作出行政罚款,一个县级的监管部门是否有足够的能力作出大额的罚款,由于没有确定细化的处罚规则,很容易造成监管部门在执法过程中产生尺度不一样,同案不同罚的情况,给监管部门的执法带来很多困难,这就需要进一步完善相应的处罚规定。
(三)个人信息受到侵害的救济制度不完善
“无救济则无权利”。公民的个人信息权受到保护的另一个重要方式是完善的救济方式,当不法分子使用各种途径侵犯到公民个人信息的情况下,采取合法有效的救济方式显得尤为重要。国内行政法方面有关救济的法律主要有三部:《中华人民共和国行政诉讼法》、《中华人民共和国行政复议法》、《中华人民共和国国家赔偿法》。但是其并没有规定公民个人信息受到侵害的具体救济途径,例如受侵害主体提起诉讼时应该以谁为被告;能否获得国家赔偿;对于滥用职权给受侵害主体造成重大损失的人是进行行政处罚还是提起刑事诉讼。所以,为了彻底有效率的保护公民的个人信息,国家立法机关应该继续研究公民个人信息的救济方式,这样即使公民的个人信息遭到侵害而公权力机关不承认时,也能在第一时间获得及时有效的救济。
三、完善我国公民个人信息行政法保护的建议
(一)建立专门的个人信息管理机构
另一重要问题就是国内需要建立执行法律的个人信息管理机构。根据欧盟95年指令第28条规定,其成员国必须需要设立专门的执法机构独立保障个人信息保护法的实施。例如丹麦设立信息保护局,不受其他部门的权利干涉,独立的保护个人信息。目前德国法律规定了完善的内在监督机制和外在监督机制,内在的监督机制指由资料保护委员会来监督政府机关,由资料保护人来监督非政府机关。其实我们完全可以学习欧盟国家建立独立的执法机构,该机构分为中央和省、自治区、直辖市两级。中央一级负责全国范围内有重大影响的个人信息保护事项,以及各省市之间对个人信息保护的协调问题;省、自治区、直辖市的个人信息保护执法机构只需要对自己辖区内有关公民个人信息保护的相关事宜负责,还应当积极配合中央一级执法机构的工作。另一方面,行政机关需要收集公民个人信息时应该向本辖区的个人信息保护执法机构进行申请,在取得机构的许可后才能进行信息的收集和利用。这样可以防止行政机关在行使权力时滥用职权,使公民的个人信息权受到不应有的侵害。
(二)完善公民个人信息利用的监管制度
要想使法律发挥应有的作用,还必须建立完善的法律监督制度。具体来讲,个人信息的监督机制可以分为事前预防、事中审查和事后监督机制。事前预防机制需要政府等公权力机关在处理信息时应当向个人信息执法机构提出申请,申请的事项应该包含其搜集个人信息的目的、如何使用、信息的种类、保护信息的方法以及相应的救济赔偿措施。若个人信息执法机构认为其申请合理,则应批准或许可行政机关的申请;若认为行政机关提交的方案不合理需要修改,则应该驳回申请,修改后再提交。事中审查机制是指个人信息保护机构应该对行政机关的收集过程进行监督,审查其是否符合收集程序,是否存在滥用职权非法处理公民的个人信息等;行政机关也应该做好涉及到公民个人信息的各项工作,并将处理完毕的信息情况及时上报给个人信息执法机构。事后监督包括个人信息保护的执法机构对滥用职权的行政机关进行处罚以及对信息主体的救济。综上所述,设立完备的个人信息监管制度不仅可以规范信息的收集处理过程,而且也可以在很大程度上增加个人信息在各个阶段被使用的安全性。
(三)完善公民个人信息的行政救济制度
即使有再完美的法律和实施计划,也会存在一些不合理或者不合法的现象,因而完善的行政救济方式是保护公民个人信息的最后一道警戒线。一方面要完善行政复议和行政诉讼制度。《行政复议法》应该明确将个人信息侵权案件列入受案范围,给公民个人信息保护的复议制度提供明确的法律依据。另外行政诉讼中不仅要确定行政机关的法律责任,还要确定有关公权力机关主管工作人员的法律责任,造成重大后果的应该追究单位和主管人员的刑事责任。另一方面完善国家赔偿制度。《国家赔偿法》的赔偿范围是行政机关及其工作人员侵犯了公民人身权和财产权,并没有将侵犯公民人格权的情形列入其中。所以行政机关以及其他组织在处理公民个人信息时如果没有尽到保护义务,损害公民的合法权益时,公民可以申请行政机关按照《国家赔偿法》进行适当的赔偿,给公民精神上以及心理上造成严重损害的,也应当一并给予精神损害赔偿。
结语
本文主要分析我国个人信息保护的不足之处,然后提出相应的改进措施,主要包括设立独立从事个人信息保护的执法机构,设立完备的个人信息监管制度和救济制度。由于本人理论功底有限,有些地方分析的仍有很大不足之处,希望其他专业人士提出不同的研究思路。
参考文献
[1]佘磊:《大数据背景下个人信息权的行政法保护研究》[D],安徽大学,2019年。
[2]姜旭:《论个人信息的行政法保护》[D],吉林大学,2019年。
[3]徐素慧:《大数据时代个人信息的行政法保护研究》[D],南京财经大学,2022年。
[4]李月:《数字法治政府建设背景下的个人信息行政法保护》[J],中共山西省委党校学报,2022年。
